EESTI STANDARD EVS-ISO/IEC 27001:2014 INFOTEHNOLOOGIA Turbemeetodid Infoturbe halduse süsteemid Nõuded Information technology Security techniques Information security management systems Requirements (ISO/IEC 27001:2013 + Cor 1:2014)
EVS-ISO/IEC 27001:2014 EESTI STANDARDI EESSÕNA NATIONAL FOREWORD See Eesti standard EVS-ISO/IEC 27001:2014 Infotehnoloogia. Turbemeetodid. Infoturbe halduse süsteemid. Nõuded sisaldab rahvusvahelise standardi ISO/IEC 27001:2013 Information technology Security techniques Information security management systems Requirements ja selle paranduse ISO/IEC 27001:2013/Cor 1:2014 identset ingliskeelset teksti. This Estonian Standard EVS-ISO/IEC 27001:2014 consists of the identical English text of the International Standard ISO/IEC 27001:2013 Information technology Security techniques Information security management systems Requirements and its Corrigendum ISO/IEC 27001:2013/Cor 1:2014. Ettepaneku rahvusvahelise standardi ümbertrüki meetodil ülevõtuks on esitanud EVS/TK 4, standardi avaldamist on korraldanud Eesti Standardikeskus. Standard EVS-ISO/IEC 27001:2014 on jõustunud sellekohase teate avaldamisega EVS Teataja 2014. aasta oktoobrikuu numbris. Proposal to adopt the International Standard by reprint method has been presented by EVS/TK 4, the Estonian standard has been published by the Estonian Centre for Standardisation. This standard has been endorsed with a notification published in the official bulletin of the Estonian Centre for Standardisation. Standard on kättesaadav Eesti Standardikeskusest. The standard is available from the Estonian Centre for Standardisation. Käsitlusala See standard spetsifitseerib nõuded infoturbe halduse süsteemi rajamiseks, evituseks, käigushoiuks ja pidevaks täiustamiseks organisatsiooni kontekstis. Standard sisaldab ka nõudeid organisatsiooni vajadustele kohandatavaks infoturvariskide kaalutlemiseks ja käsitluseks. Selles standardis püstitatud nõuded on üldistuslikud ning on mõeldud kohaldatavaks kõigile organisatsioonidele, sõltumata nende tüübist, suurusest või iseloomust. Kui organisatsioon taotleb vastavust sellele standardile, ei tohi ta välistada ühtki peatükkides 4 kuni 10 spetsifitseeritud nõuet. Tagasisidet standardi sisu kohta on võimalik edastada, kasutades EVS-i veebilehel asuvat tagasiside vormi või saates e-kirja meiliaadressile standardiosakond@evs.ee. ICS 35.040 Standardite reprodutseerimise ja levitamise õigus kuulub Eesti Standardikeskusele Andmete paljundamine, taastekitamine, kopeerimine, salvestamine elektroonsesse süsteemi või edastamine ükskõik millises vormis või millisel teel ilma Eesti Standardikeskuse kirjaliku loata on keelatud. Kui Teil on küsimusi standardite autorikaitse kohta, võtke palun ühendust Eesti Standardikeskusega: Aru 10, 10317 Tallinn, Eesti; www.evs.ee; telefon 605 5050; e-post info@evs.ee The right to reproduce and distribute standards belongs to the Estonian Centre for Standardisation No part of this publication may be reproduced or utilized in any form or by any means, electronic or mechanical, including photocopying, without a written permission from the Estonian Centre for Standardisation. If you have any questions about copyright, please contact Estonian Centre for Standardisation: Aru 10, 10317 Tallinn, Estonia; www.evs.ee; phone 605 5050; e-mail info@evs.ee
EVS-ISO/IEC 27001:2013(E) 27001:2014 Contents Foreword...iv 0 Introduction...v 1 Scope...1 2 Normative references...1...1 4 Context of the organization...1...1...1...1...2 5 Leadership...2...2...2...3 6 Planning...3...3... 7 Support...5 7.1 Resources... 7.2 Competence............ 8 Operation...7...7...7...7 9 Performance evaluation...7...7...8...8 10 Improvement...9...9...9 Annex A Reference control objectives and controls...10 Bibliography...23 ISO/IEC 2013 All rights reserved iii
EVS-ISO/IEC 27001:2013(E) 27001:2014 0 Introduction 0.1 General ISO/IEC 27003 [2] [3] [4] 0.2 Compatibility with other management system standards ISO/IEC 2013 All rights reserved v
INTERNATIONAL STANDARD EVS-ISO/IEC 27001:2014 Information technology Security techniqus Information security management systems Requirements 1 Scope to 10 2 Normative references Information technology Security techniques Information security management systems Overview and vocabulary 4 Context of the organization 4.1 Understanding the organization and its context [ ]. 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system ISO/IEC 2013 All rights reserved 1